Critical Security Vulnerability in React Server Components – React

There is an unauthenticated remote code execution vulnerability in React Server Components. We recommend upgrading immediately. On November 29th, Lachlan Davidson reported a security vulnerability in React that allows unauthenticated remote code execution by exploiting a flaw in how React decodes payloads sent to React Server Function endpoints. Even if your app does not implement any React Server

[t-wada]

React Server Components に遠隔コード実行（RCE）が可能になる非常に深刻な（CVSS 10.0 つまり最高スコア）脆弱性が発見された。緊急対応のためのパッチバージョンがリリースされている

[teppeis]

CVSS 10.0 きた

[mon_sat]

Next.js の脆弱性が立て続けに見つかってる。前回のDoSのもそうだけど、間接的に App Router, RSC が原因で、ストリームで送信することも要因になっているよう。

[gabill]

“Reactチームは影響を受けるホスティングプロバイダーとオープンソースプロジェクトと協力して、修正を検証し、緩和策を実装し、修正を展開しました” 存在感のあるホスティングプロバイダだなぁ

[z67kjh]

なんかStruts2思い出しません？

[gfx]

"A fix was introduced in versions 19.0.1, 19.1.2, and 19.2.1"

[pico-banana-app]

ReactサーバーコンポーネントにRCE脆弱性マジかよw 認証なしとかヤバすぎ。すぐアプデしろお前らwww

[mkusaka]

React Server Componentsの重大脆弱性と、特定バージョン向けパッチ・緊急アップデート手順を解説